Segurança WordPress | Guia para proteger o seu site

O WordPress é o CMS mais utilizado em todo o mundo. Há muitas boas razões para a sua popularidade, incluindo as inúmeras opções de personalização que tem ao seu alcance quando cria o seu site com o WordPress.

O WordPress foi construído com base em software seguro que é continuamente mantido e melhorado por muitos programadores. No entanto, a sua popularidade também o tornou um alvo atrativo para os ciberataques.

Isto significa que a segurança WordPress deve ser uma prioridade. Quer tenha um simples blog WordPress ou um site mais abrangente. Deste modo, reduz o risco de o seu site e dados pessoais se tornarem alvos de ataques maliciosos.

Felizmente, há muito que pode fazer para proteger o seu site WordPress. Mesmo que não tenha conhecimentos técnicos. Neste guia, fornecemos uma lista de medidas e dicas de segurança WordPress que pode implementar facilmente para melhorar a segurança WordPress do seu site.

Porque é que a segurança WordPress é importante?

A resposta curta é que, ao dar prioridade à segurança, protege o seu site WordPress contra ataques cibernéticos nocivos. Estes ataques podem destruir os seus dados importantes, fazer com que o seu site falhe ou levar ao roubo de identidade.

O objetivo típico de um ataque de hackers é roubar informações pessoais, espalhar malware ou assumir o controlo do site.

Ao garantir a segurança WordPress, está a proteger-se a si próprio, aos seus utilizadores e à reputação da sua empresa.

Proteção do WordPress: Um guia de instruções

Nesta secção, encontrará uma lista de medidas de dicas de segurança WordPress que o ajudarão a proteger o seu site WordPress.

Alojamento seguro do WordPress

Para garantir que o seu site começa com a base mais segura, é crucial escolher um fornecedor de alojamento que se destaque pela segurança. É melhor escolher um alojamento que inclua proteção contra malware, cópias de segurança automáticas e um certificado SSL.

Com uma boa hospedagem WordPress, também terá acesso a suporte quando precisar. Isto dá-lhe o melhor ponto de partida para lançar o seu projeto online.

Manter o WordPress atualizado

Atualizar regularmente o WordPress. Esta é uma das tarefas mais importantes que pode fazer para otimizar a segurança do seu site. O WordPress lança continuamente novas atualizações que corrigem vulnerabilidades. Pelo que, ao manter o núcleo, os temas e os plug-ins do WordPress atualizados, reduz o risco de ciberataques.

No entanto, podem surgir erros e vulnerabilidades que só notará quando for demasiado tarde. Mesmo que o seu site e os seus plug-ins funcionem como esperado. Estas vulnerabilidades podem ser evitadas através de atualizações.

Saltar atualizações importantes é quase como deixar a porta da frente aberta, o que a maioria das pessoas não se sentiria segura em fazer.

Se quiser evitar o incómodo das atualizações manuais e aumentar ainda mais a segurança WordPress do seu site, recomendamos o Managed WordPress. Com o mesmo, garantimos que o seu site está sempre atualizado e a funcionar como deve. Pode ler mais sobre o Managed WordPress mais adiante neste artigo.

SSL e HTTPS

SSL significa Secure Sockets Layer. Trata-se de um protocolo que encripta a transferência de dados do seu site para o navegador do utilizador. Ao ativar o SSL no seu site, impede que terceiros indesejados e hackers acedam às suas informações pessoais ou às dos seus utilizadores, tais como números de cartões de crédito, palavras-passe ou outros dados sensíveis.

Quando um certificado SSL é ativado no seu site, o seu endereço muda de HTTP para HTTPS. O qual se trata de um protocolo de encriptação seguro. Após a ativação do certificado SSL, será também apresentado um ícone de cadeado na parte superior da barra de endereços do navegador, à esquerda do URL do seu site. O símbolo do cadeado mostra aos seus visitantes que o seu site WordPress é seguro.

Normalmente, tem de pagar por um certificado SSL, mas se escolher o alojamento WordPress com a one.com, um certificado SSL está incluído no seu plano de alojamento. Independentemente do plano que escolher.

Palavras-passe fortes

Toda a gente sabe que as palavras-passe seguras são importantes em todos os contextos. No entanto, muitas vezes optamos pelo caminho mais fácil quando criamos uma palavra-passe. Isto é sempre uma má ideia, porque pode ser precisamente a sua palavra-passe pobre ou reutilizada que provoca um ataque informático. Ou que faz com que os seus dados pessoais caiam nas mãos erradas. Quanto maior for a quantidade de lugares onde reutiliza a mesma palavra-passe, maior é o risco. É por isso que precisa de ter palavras-passe fortes em todos os sites do seu site WordPress.

Uma palavra-passe forte:

• Contém pelo menos 12 caracteres
• Não é reutilizada em vários sites
• Não é partilhada com outros
• Não é uma variação de uma das suas outras palavras-passe
• Contém uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais (! & @).

Se, tal como muitas outras pessoas, tem dificuldade em lembrar-se de todas as suas diferentes palavras-passe, pode utilizar um gestor de palavras-passe. Um gestor de palavras-passe é um programa, aplicação ou site que reúne todas as suas palavras-passe num único local.

Com um gestor de palavras-passe, todas as palavras-passe são protegidas com uma palavra-passe mestra. Isto significa que só precisa de se lembrar da palavra-passe do seu gestor de palavras-passe para aceder a todas as suas palavras-passe.

Leia mais sobre a proteção por palavra-passe no nosso artigo 5 formas de proteger site WordPress com palavra-passe.

Autenticação de dois fatores (2FA)

Com a autenticação de dois fatores, é necessária uma segunda forma de autenticação no início de sessão. Para além da palavra-passe. A autenticação secundária pode ser um código único enviado por SMS para o seu número de telefone. Ou um código gerado por uma aplicação de autenticação, como a da Google

Em alguns casos, também é possível utilizar a sua impressão digital ou o reconhecimento facial como segundo passo. Se o seu telemóvel ou tablet tiver essa capacidade.

A 2FA proporciona uma proteção extra contra ataques. Isto porque um hacker não conseguirá aceder ao seu site. Mesmo que tenha obtido a sua palavra-passe.

Se alojar o seu site WordPress com a one.com, pode proteger ainda mais o seu site. Basta ativar Advanced Login Protection diretamente a partir do seu painel de controlo.

Considerar as permissões do utilizador

Há outras pessoas que têm acesso ao seu site WordPress? Nesse caso, deve ter cuidado ao gerir as permissões de utilizador. Cada novo utilizador que cria abre uma potencial brecha para os hackers, pelo que só deve dar aos seus utilizadores as permissões de que realmente necessitam. Por exemplo, se tem um amigo ou um trabalhador que o ajuda a rever ou a escrever textos para o site, ele só precisa de direitos de edição. Não de direitos de administrador.

Se tiver um utilizador que irá rever o conteúdo do seu site, pode atribuir-lhe a função de Editor. Se o utilizador for um escritor que só precisa de escrever e editar os seus próprios artigos, a função de Autor é a melhor escolha.

É também uma boa ideia rever regularmente os seus utilizadores. E eliminar aqueles que já não são relevantes.

Alterar o nome de utilizador do administrador

Não é só a sua palavra-passe que precisa de ser forte e única! O seu nome de utilizador de administrador do WordPress também deve ser único para reduzir o risco de um ataque severo. Depois de criar o seu site WordPress, pode alterar manualmente o nome de utilizador na tabela wp_users no phpMyAdmin. Esta ferramenta está pré-instalada no seu plano de alojamento quando aloja o seu site WordPress com a one.com.

Pode aceder às definições de PHP e base de dados no painel de controlo, em Definições Avançadas.

• Localize a tabela wp_users (também pode ser designada por 0_users).
• Localize o nome de utilizador do administrador e clique em Editar.
• Em user_login, introduza um novo nome de utilizador no campo Valor
• Clique em Ir para guardar.

Criar cópias de segurança

Por muito boa que seja a segurança WordPress, existe sempre o risco de acontecer algum imprevisto. Como um ciberataque ou um erro técnico. As cópias de segurança são a sua rede de segurança numa situação destas. Se tiver uma cópia de segurança no WordPress, pode facilmente restaurar o seu site e as suas funções. Evitando períodos de inatividade prolongados que podem prejudicar a reputação e as receitas da sua empresa.

Evitar plugins inseguros

Existe um grande número de plug-ins WordPress gratuitos e pagos que pode utilizar para expandir a funcionalidade do seu site. Infelizmente, alguns deles podem representar um risco de segurança para WordPress no seu site. Ou levar a problemas técnicos que impedem o seu site de funcionar.

A lista de plug-ins que podem danificar o seu site ou representar um risco de segurança no WordPress é bastante longa. Aqui está a nossa lista completa de plugins WordPress desaconselhados.

Recomendamos estes plugins, que oferecem uma boa segurança no WordPress e asseguram que o desempenho do seu site é sempre excelente.

Uma seleção de plugins WordPress seguros:

• Contact Form 7
• Contact Form da WP Forms
• Imagify
• Jetpack
• Site Kit da Google
• Social Media Share Buttons
• WooCommerce
• WP Mail SMTP
• YARPP
• Rank Math SEO
• WP Rocket

Remover os plugins de que já não necessita

Continuando com o tema dos plugins, é importante remover os plugins que já não utiliza. Ter muitos plugins segurança WordPress pode contribuir para que esta seja mais fraca. Reveja regularmente os seus plugins e elimine aqueles que estão apenas a acumular pó digital. Claro que, primeiro, deve certificar-se de que o plugin em questão não é utilizado para funções importantes no seu site.

Desativar a execução de PHP

Na one.com, pode instalar o WordPress com um único clique. Se já utilizou ou vai selecionar esta opção, pode saltar este ponto.

Se instalou o WordPress manualmente, deve desativar a execução do PHP na pasta de carregamento. Ao fazê-lo, pode evitar ciberataques em que o malware se propaga a partir de um backdoor PHP para o resto do seu site.

Para desativar a execução do PHP, pode adicionar as seguintes linhas de código ao ficheiro .htaccess que se encontra na pasta de carregamento (wp-content/uploads).

# Block executables
<FilesMatch ".(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    deny from all
</FilesMatch>

Monitorização de vulnerabilidades

A monitorização de vulnerabilidades WordPress consiste em analisar o seu site WordPress para detetar potenciais vulnerabilidades que os piratas informáticos possam explorar. Quando a monitorização de vulnerabilidades é efetuada, todas as partes do seu site são analisadas. Incluindo temas e plugins segurança WordPress. Este processo reduz significativamente o risco de encontrar erros imprevistos ou ciberataques.

Ao escolher um alojamento WordPress que ofereça monitorização automática diária das vulnerabilidades, garante que o seu site está sempre bem protegido contra-ataques.

Escolha o Managed WordPress para uma proteção ainda melhor

Como mencionámos anteriormente neste artigo, pode ser demorado e irritante verificar manualmente as atualizações, as cópias de segurança no WordPress e as medidas de segurança no WordPress adicionais. Se preferir evitar os problemas e poupar tempo, uma das dicas de segurança WordPress que lhe damos é que pode escolher um dos nossos planos Managed WordPress. Estes incluem:

• Monitorização de vulnerabilidades com correções de segurança automáticas
• Atualizações automáticas de plugins e temas com testes visuais
• Monitorização do tempo de atividade na aplicação

Com o Managed WordPress, tem mais tempo para os seus projetos mais importantes e não tem de se preocupar com a manutenção do seu site WordPress.

Tornar o seu site WordPress mais resistente

Ao seguir os passos descritos neste artigo, pode melhorar significativamente a segurança no WordPress. Atualizações regulares, palavras-passe fortes e únicas, alojamento WordPress segurança e as outras medidas de WordPress segurança mencionadas manterão o seu site e os seus utilizadores seguros.